Grundlegend wichtig: Das Facebook-Urteil des EuGH
ULD als zuständige Aufsichtsbehörde
Das ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) dürfte jeder Datenschützer kennen. Es ist die Datenschutz-Aufsichtsbehörde für Behörden und Unternehmen in Schleswig-Holstein.
Die Wirtschaftsakademie Schleswig-Holstein GmbH war bisher deutlich weniger bekannt. Dies dürfte sich durch die vorliegende Entscheidung zur gemeinsamen datenschutzrechtlichen Verantwortung jedoch ändern.
Mittlerweile gibt es ein 2. EuGH-Urteil zur gemeinsamen Verantwortlichkeit: Gemeinsame Verantwortlichkeit: Datenschutz bei den Zeugen Jehovas
Abläufe bei einer Facebook-Fanpage
Die Wirtschaftsakademie betreibt bei Facebook eine sogenannte „Fanpage“. Wie das funktioniert, erklärt der Europäische Gerichtshof (EuGH) recht gut verständlich so:
- Fanpages sind Benutzerkonten, die Privatpersonen oder Unternehmen bei Facebook einrichten können.
- Dazu muss sich der Fanpage-Anbieter bei Facebook registrieren.
- Ist das geschehen, dann hat der Anbieter eine Plattform, um sich den Nutzern von Facebook, aber auch allen sonstigen Personen, die die Fanpage besuchen, zu präsentieren. Außerdem kann er Äußerungen aller Art in den Medien- und Meinungsmarkt einbringen.
Nicht abschaltbare Analysefunktion
Die Betreiber von Fanpages können mithilfe der Funktion „Facebook Insight“ anonymisierte statistische Daten zu den Nutzern dieser Seiten erhalten.
Diese Funktion stellt Facebook kostenfrei zur Verfügung. Auf diese Funktion zu verzichten, ist nicht möglich.
Einsatz von Cookies
Die Daten der Nutzer werden mithilfe sogenannter Cookies gesammelt. Sie enthalten jeweils einen eindeutigen Benutzercode. Dieser Code ist für zwei Jahre aktiv. Facebook speichert ihn auf der Festplatte des Computers oder auf einem anderen Datenträger, den der Besucher der Fanpage bei seinem Besuch benutzt.
Der Benutzercode lässt sich mit den Anmeldungsdaten solcher Nutzer, die bereits bei Facebook registriert sind, verknüpfen. Er wird jedes Mal erhoben und verarbeitet, wenn der Nutzer die Fanpage aufruft.
Dadurch erkennt Facebook, ob es sich jeweils um denselben Nutzer handelt. Wer genau der Nutzer ist (Name usw.), erfährt Facebook jedoch nicht.
Cookies werden auch gesetzt, wenn Nutzer, die bei Facebook überhaupt kein Nutzerkonto haben, die Fanpage besuchen.
Profile der Nutzer
Aus den Daten der Nutzer lassen sich Profile erstellen. Mithilfe solcher Profile lässt sich feststellen, welche Werbung und welche Dienstleistungen für den Nutzer jeweils interessant sind. Dabei finden unter anderem Daten über Alter, Geschlecht, Beziehungsstatus und berufliche Situation Verwendung.
Für die Analyse der Daten stellt Facebook dem Betreiber der Fanpage Filter bereit, aus denen er auswählen kann. Er hat also Einfluss darauf, welche Profile genutzt werden.
Fehlende Hinweise für Nutzer
So weit, so gut. Das Problem: Weder die Wirtschaftsakademie noch die Facebook Ireland Ltd weisen die Nutzer der Fanpage auf die Speicherung der Daten hin. Auch über die Funktionsweise des Cookies und die nachfolgende Datenverarbeitung erfährt der Nutzer nichts.
Anordnung des ULD
Dies war für das ULD Anlass, der Wirtschaftsakademie das weitere Betreiben der Fanpage zu untersagen und zu fordern, die Fanpage stillzulegen.
Die Wirtschaftsakademie wollte das nicht akzeptieren. Sie machte geltend, sie sei weder für die Datenverarbeitung durch Facebook verantwortlich noch für die Cookies, die Facebook setzt. Wenn überhaupt, dann hätte das ULD aus Sicht der Wirtschaftsakademie gegen Facebook direkt vorgehen müssen.
Wirtschaftsakademie rechtlich mitverantwortlich
Dies sieht der Europäische Gerichtshof anders. Er hält dazu Folgendes fest:
- Es ist richtig, dass der Betreiber einer Fanpage von Facebook im Ergebnis Daten nur in anonymisierter Form erhält.
- Dies ändert aber nichts daran, dass Facebook zur Ermittlung dieser anonymisierten Daten zuvor personenbezogene Daten erhebt.
- Dafür ist Facebook nicht allein verantwortlich. Vielmehr fällt dies auch in die Verantwortlichkeit dessen, der eine Fanpage betreibt. Eine gemeinsame Verantwortlichkeit ist auch dann möglich, wenn nicht alle Beteiligten im selben Umfang Zugang zu den personenbezogenen Daten haben, um die es geht.
Grundsatz der gemeinsamen Verantwortlichkeit
Dies bedeutet im Ergebnis, das Facebook und der Betreiber einer Fanpage gemeinsam für die Einhaltung des Datenschutzes verantwortlich sind.
Es ist keineswegs so, dass Facebook dabei immer den größten Teil der Verantwortung hätte. Im Gegenteil. Fanpages können auch von Personen besucht werden, die überhaupt kein Benutzerkonto bei Facebook haben. Schon der Aufruf der Fanpage durch eine solche Person löst automatisch die Verarbeitung ihrer personenbezogenen Daten aus. In diesen Fällen ist die Verantwortlichkeit des Betreibers der Fanpage größer als die Verantwortlichkeit von Facebook.
Ergebnis: Anordnung zulässig
Dies bedeutet im Ergebnis, dass das ULD eine Anordnung wegen Datenschutz-Verstößen gegen den Betreiber der Fanpage richten konnte, also gegen die Wirtschaftsakademie.
Das ULD musste sich nicht an Facebook halten. Vielmehr konnte das ULD von der Wirtschaftsakademie verlangen, dass es für eine ausreichende Information der Nutzer sorgt.
Generelle Zuständigkeit von Aufsichtsbehörden
Dann befasst sich der Europäische Gerichtshof noch mit der Frage, ob das ULD als deutsche Aufsichtsbehörde überhaupt eine Anordnung erlassen darf, obwohl die Niederlassung von Facebook in Deutschland lediglich Marketingaufgaben hat.
Die Verarbeitung der Daten aus den Cookies erfolgt dagegen in Irland. Dort werden auch die strategischen Entscheidungen getroffen, welche Daten erhoben und verarbeitet werden und wie das geschieht.
Dies alles hat nach Auffassung des Gerichtshofs keinen Einfluss auf die Zuständigkeit des ULD als deutsche Aufsichtsbehörde. Für seine Zuständigkeit reicht es aus, das Facebook in Deutschland überhaupt eine Niederlassung hat.
Dabei sind die Tätigkeiten der Niederlassung in Deutschland und der Niederlassung in Irland untrennbar miteinander verbunden. Beide wirken an der Verarbeitung der Daten mit.
Und dass die deutsche Datenschutzaufsicht für die Wirtschaftsakademie zuständig ist, ist sowieso klar. Sie hat nämlich ihren alleinigen Sitz in Deutschland.
Lebhafte Diskussionen
Die Entscheidung hat zu einer lebhaften Diskussion darüber geführt, ob es für ein Unternehmen überhaupt noch zu verantworten ist, eine Fanpage bei Facebook zu betreiben. Denn einen realen Einfluss auf das, was mit den Daten bei Facebook geschieht, hat der Betreiber einer Fanpage letztlich nicht.
Zwar kann er auswählen, welche Datenfilter zur Anwendung kommen. Was genau bei der Verarbeitung geschieht, weiß der Betreiber einer Fanpage jedoch nicht und kann es auch nicht im Detail beeinflussen.
Das wiederum führt zu dem Problem, dass er nicht recht weiß, welche Datenschutz-Informationen er den Besuchern seiner Fanpage geben muss, um seine Informationspflichten zu erfüllen.
Generelle Ratschläge nicht möglich
Generelle Ratschläge, die für alle Unternehmen, Branchen und möglicherweise auch noch für Vereine aller Art passen, lassen sich nicht geben.
Jeder Anbieter einer Fanpage muss vielmehr im Einzelfall prüfen, welche Daten analysiert werden und zu welchen Schlussfolgerungen die Analyse führt. Danach richtet sich dann, ob eine ausreichende Rechtsgrundlage vorhanden ist und welche Informationen der Nutzer einer Seite bekommen muss.
Genau diese Situation führt zu der großen Unsicherheit, die überall zu spüren ist.
Das Urteil des Europäischen Gerichtshofs vom 5. Juni 2018-C-210/16 ist abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1